乔·拜登总统周三签署了一份行政命令,试图在一些毁灭性的黑客攻击之后促进美国网络安全抗辩,包括殖民地管道攻击,揭示了跨越商业和政府的脆弱性。
“最近的网络安全事件......我们的公共和私营部门实体越来越多地面临来自国家行动者和网络罪犯的复杂恶意网络活动的清醒提醒,”白宫说。
根据该命令,联邦机构将被要求在其系统中引入多因素认证,并在6个月内加密所有数据,以使黑客更难侵入其it基础设施。
该命令还要求与政府签订合同的IT提供商满足更高的安全要求,并在系统遭到破坏时向政府报告。一名高级政府官员表示,将根据事件的严重程度制定严格的披露时间表,并按轻重缓急进行调整。
销售给政府的软件的新星评级系统的飞行员也将推出,以便官员和公众可以判断它的确。
这些措施是在太阳风(SolarWinds)遭黑客攻击之后出台的。在那次攻击中,俄罗斯黑客劫持了美国制造的软件,以开展针对数十家企业以及美国商务部和财政部等机构的间谍活动。
今年早些时候,有消息称,中国政府支持的黑客还利用微软软件最近披露的漏洞,对多个目标实施了隐形攻击。
该订单也出现了一群网络罪犯的赎金软件攻击,5月7日通过殖民地经营的主要东海岸管道,导致汽油跑,导致燃料短缺。5,500英里的管道系统周三恢复了运营。
白宫表示:“这些事件有共同之处,包括网络安全防御不足,使得公共和私营部门实体更容易受到攻击。”
为了简化政府的网络防御,该命令试图引入一个“剧本”,说明政府机构应该如何应对事件,以及如何改进入侵后的日志记录和信息共享。
该委员会还成立了一个公私部门委员会,名为网络安全审查委员会(Cybersecurity Safety Review board),负责对已发生的大型网络事件进行分析,并提出建议,防止此类事件再次发生。
该委员会模仿负责调查飞机和火车事故的国家运输安全委员会(National Transportation Safety board),将首先负责审查太阳风遭黑客攻击事件,这名高级政府官员说。
©2021金融时报有限公司。版权所有。不要以任何方式重新分配,复制或修改。
100年读者评论
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
最后一次编辑副赶大车的人在5月13日星期四,2021年10:40 AM
如果不行,我们就派人去其他一系列严厉的电子邮件和进一步的行政命令。
你等着瞧吧。
我猜他是在告诉政府他可以不扔一颗炸弹就把整个国家搞垮。发电厂/配电系统也都存在漏洞。美国需要更好的东西来解决这个问题,而不是一个空谈点。JMHO
最后一次编辑Sasparilla.在5月13日星期四,2021年10:44
是的,你甚至不必做一个SIM交换来绕过SMS安全的过程。
如果您要允许应用程序,那么您需要锁定电话安全性和私人第三方用户帐户。否则,谷歌/ Apple帐户(大多数不是2FA保护)可以在对手的控制下恢复该软件。我不是要求任何员工在基本上是非托管个人帐户的顶部运行安全软件的粉丝(例如谷歌)。
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
基于我对美国政府有限的理解,它可能需要国会通过法律,让私营公司认真对待他们的屎。
我感觉这些攻击会变得更糟。
源?
--
编辑:猜猜它到处都是
- https://www.bloomberg.com/news/articles…的赎金
- https://finance.yahoo.com/news/colonial…html 48661.
- https://nypost.com/2021/05/13/colonial- ... ek-report /
最后一次编辑DMCCARTY2021年5月13日周四上午10:50
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
基于我对美国政府有限的理解,它可能需要国会通过法律,让私营公司认真对待他们的屎。
有人可能会说,国会应该通过法律,而不应该留给行政长官。
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
基于我对美国政府有限的理解,它可能需要国会通过法律,让私营公司认真对待他们的屎。
换句话说,社会主义!!! 11.
我现在能想象出来。共和党人在福克斯新闻上说,政府要求提供经济关键服务的公司必须有安全意识,这比斯大林吃婴儿和焚烧圣经更糟糕,因为吹嘘的自由市场会自己照顾自己。就像Colonial和德克萨斯州二月份的所有发电厂一样。
我感觉这些攻击会变得更糟。
我不认为这是一个问题,如果它迫使企业和政府开始重视网络安全。让成本上升。我宁愿让麻烦分散也不愿在网络战争中把所有东西同时拿下。
我感觉这些攻击会变得更糟。
我不认为这是一个问题,如果它迫使企业和政府开始重视网络安全。让成本上升。我宁愿让麻烦分散也不愿在网络战争中把所有东西同时拿下。
我想这是一个不受欢迎的观点,但我同意。
除非他们直接影响,否则我们共同的美国人不会行事。他妈的与他们的互联网连接,你可能会得到一些真正的变化。
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
基于我对美国政府有限的理解,它可能需要国会通过法律,让私营公司认真对待他们的屎。
这是部分正确。任何新的惩罚或要求都需要通过国会。然而,根据现行法律,行政部门可以做很多事情来让这些私营公司痛苦。他们可以在保护消费者方面发起政府诉讼,寻求损害赔偿。他们可以让检察官对刑事疏忽或其他违反隐私法的案件进行全面调查。理论上,行政部门甚至可以没收用于犯罪阴谋的资产——比如通过支付勒索软件要求来支持“恐怖主义”。“对不起,这家私人医院在拍卖前重新归公共管理……”或“这条管道被用来产生收入支持(恐怖主义/毒品/有组织犯罪/任何),现在是没收资产。”跟你的股东玩得开心点,他们炒你鱿鱼的时候,我们会以违反公众信任和洗钱等罪名起诉你。”
我感觉这些攻击会变得更糟。
我不认为这是一个问题,如果它迫使企业和政府开始重视网络安全。让成本上升。我宁愿让麻烦分散也不愿在网络战争中把所有东西同时拿下。
如果我不确定这些不断上升的成本是否会转嫁到消费者身上,而高管们继续瞎忙,政府什么也不做,我是会同意的。
我怀疑他们不会采取任何行动,除非这些黑客开始把目标对准国会个别议员或特别有权势的企业高管。除非他们自己的财务受到威胁,否则他们是不会关心的。
我想要的不仅仅是指导。我想要惩罚和真正的执行。星评级?LOL -我工作的行业已经有至少十年的政府强制星级评定了。我的雇主是这个领域的领导者,总是在玩弄体制。所以,不,星级评级甚至不是解决办法的一部分。
我知道这是一个进化。但是,让我们在摩尔定律的线条中更加让这种进化,而不是达尔文和他的队列所描述的进化......
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
基于我对美国政府有限的理解,它可能需要国会通过法律,让私营公司认真对待他们的屎。
这是部分正确。任何新的惩罚或要求都需要通过国会。然而,根据现行法律,行政部门可以做很多事情来让这些私营公司痛苦。他们可以在保护消费者方面发起政府诉讼,寻求损害赔偿。他们可以让检察官对刑事疏忽或其他违反隐私法的案件进行全面调查。理论上,行政部门甚至可以没收用于犯罪阴谋的资产——比如通过支付勒索软件要求来支持“恐怖主义”。“对不起,这家私人医院在拍卖前重新归公共管理……”或“这条管道被用来产生收入支持(恐怖主义/毒品/有组织犯罪/任何),现在是没收资产。”跟你的股东玩得开心点,他们炒你鱿鱼的时候,我们会以违反公众信任和洗钱等罪名起诉你。”
当人们说你不能把一个公司关进监狱的时候,你提到了我想说的一点。我的回答是:当然可以!政府接管。
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
基于我对美国政府有限的理解,它可能需要国会通过法律,让私营公司认真对待他们的屎。
这是部分正确。任何新的惩罚或要求都需要通过国会。然而,根据现行法律,行政部门可以做很多事情来让这些私营公司痛苦。他们可以在保护消费者方面发起政府诉讼,寻求损害赔偿。他们可以让检察官对刑事疏忽或其他违反隐私法的案件进行全面调查。理论上,行政部门甚至可以没收用于犯罪阴谋的资产——比如通过支付勒索软件要求来支持“恐怖主义”。“对不起,这家私人医院在拍卖前重新归公共管理……”或“这条管道被用来产生收入支持(恐怖主义/毒品/有组织犯罪/任何),现在是没收资产。”跟你的股东玩得开心点,他们炒你鱿鱼的时候,我们会以违反公众信任和洗钱等罪名起诉你。”
迫使IT承包商追求政府合同,提高标准的门槛,并服从于各种报告要求,这是一个相当大的胡萝卜——一旦公司达到这些标准,他们就更容易全面地应用它们。
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
基于我对美国政府有限的理解,它可能需要国会通过法律,让私营公司认真对待他们的屎。
换句话说,社会主义!!! 11.
我现在能想象出来。共和党人在福克斯新闻上说,政府要求提供经济关键服务的公司必须有安全意识,这比斯大林吃婴儿和焚烧圣经更糟糕,因为吹嘘的自由市场会自己照顾自己。就像Colonial和德克萨斯州二月份的所有发电厂一样。
也许你很幸运,Fox等人最终会成为勒索软件的目标
最后一次编辑Chanman819.在5月13日星期四,2021年3:40
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
基于我对美国政府有限的理解,它可能需要国会通过法律,让私营公司认真对待他们的屎。
换句话说,社会主义!!! 11.
我现在能想象出来。共和党人在福克斯新闻上说,政府要求提供经济关键服务的公司必须有安全意识,这比斯大林吃婴儿和焚烧圣经更糟糕,因为吹嘘的自由市场会自己照顾自己。就像Colonial和德克萨斯州二月份的所有发电厂一样。
也许你会很幸运,并且福克斯et最终成为一个赎金软件目标
问题是他们得储存有用的信息。福克斯新闻没有达到这个门槛。
编辑:福克斯和福克斯新闻。
最后一次编辑andrewb6102021年5月13日周四上午11:12
非常好的开始。
如果您对联邦政府通过CMMC计划发布的安全控制和方法感兴趣(可能最终会被其他联邦机构,如SEC使用),请查看该标准。这其实是相当合理和深思熟虑的。
CMMC概述:
https://www.acq.osd.mil/cmmc/docs/CMMC_…200318. pdf
编辑:添加到CMMC的链接
最后一次编辑TheThirdDictor2021年5月13日星期四上午11:30
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
回答:没有。有了足够多的共和党人执政,他或任何其他民主党人想做的事情都不会实现。
正如你敏锐地注意到的,他可以告诉主管如何做他想做的生意。说句公道话,这是好他让行政长官保护好他们的东西对他好!
然而,这并不能解决私营部门在信息安全领域投资不足或不投资的问题。没有激励让私营部门重新审视他们的基础设施和升级它来应对21世纪的威胁。没有惩罚的反社会企业(抱歉是多余的),他们将不可避免地选择利润而不是惩罚,因为USG的罚款系统从来没有设置一个货币数额,使违反法律的罚款超过小做生意的成本。
所以,没有。乔•拜登(Joe Biden)不会采取任何措施让私营部门更不易被黑客攻击。他就是做不到,这甚至不是意志的问题。
国会不会采取任何措施来减少私营部门的黑客攻击。他们就是做不到,这甚至不是意志的问题。
随便做点什么都会让共和党人抓狂、尖叫、哭泣,就像愤怒的吉娃娃一样,它最喜欢的咀嚼玩具被火箭筒击中了。
(毫无疑问我们能做到。)值得吗?我不确定在这次事件中动用我们的能力会有什么真正的目的。
我们已经提供了一个例子,在2014年索尼被黑客攻击后,关闭了所有NK的外部互联网连接。
强制不遵守规则的私人承包商遵守规则,否则将失去合同。
是的,你甚至不必做一个SIM交换来绕过SMS安全的过程。
如果您要允许应用程序,那么您需要锁定电话安全性和私人第三方用户帐户。否则,谷歌/ Apple帐户(大多数不是2FA保护)可以在对手的控制下恢复该软件。我不是要求任何员工在基本上是非托管个人帐户的顶部运行安全软件的粉丝(例如谷歌)。
我完全同意,但记住这点根据Ars前几天的文章谷歌账户将很快被默认为2因素,如果你有一个相关的谷歌设备像Android (chromebooks ?)这么多人默认会发生这么大的变化,这有点可怕,但这应该可以提高大量谷歌账户的基本安全性,尤其是因为它不使用短信。
国防部到处都在使用cac(军事和民用)。我听说政府也用PIV ?
所以是的,联邦机构还没有实施多方面?似乎最近它主要是私营公司/承包商问题。需要开始为某些必要行业的某些级别的安全性(以及是包括管道)的一定程度的安全性。
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
回答:没有。有了足够多的共和党人执政,他或任何其他民主党人想做的事情都不会实现。
正如你敏锐地注意到的,他可以告诉主管如何做他想做的生意。说句公道话,这是好他让行政长官保护好他们的东西对他好!
然而,这并不能解决私营部门在信息安全领域投资不足或不投资的问题。没有激励让私营部门重新审视他们的基础设施和升级它来应对21世纪的威胁。没有惩罚的反社会企业(抱歉是多余的),他们将不可避免地选择利润而不是惩罚,因为USG的罚款系统从来没有设置一个货币数额,使违反法律的罚款超过小做生意的成本。
所以,没有。乔•拜登(Joe Biden)不会采取任何措施让私营部门更不易被黑客攻击。他就是做不到,这甚至不是意志的问题。
国会不会采取任何措施来减少私营部门的黑客攻击。他们就是做不到,这甚至不是意志的问题。
随便做点什么都会让共和党人抓狂、尖叫、哭泣,就像愤怒的吉娃娃一样,它最喜欢的咀嚼玩具被火箭筒击中了。
除了EO可以授权对每个现有承包商的网络安全要求以及甚至希望与联邦政府合同的人。并作为上面提到的SixDegrees那是一个相当大的胡萝卜。
国防部到处都在使用cac(军事和民用)。我听说政府也用PIV ?
所以是的,联邦机构还没有实施多方面?似乎最近它主要是私营公司/承包商问题。需要开始为某些必要行业的某些级别的安全性(以及是包括管道)的一定程度的安全性。
同意,私人承包商很便宜,什么都包办。
联邦法院使用PIV和MFA。
是的,你甚至不必做一个SIM交换来绕过SMS安全的过程。
如果您要允许应用程序,那么您需要锁定电话安全性和私人第三方用户帐户。否则,谷歌/ Apple帐户(大多数不是2FA保护)可以在对手的控制下恢复该软件。我不是要求任何员工在基本上是非托管个人帐户的顶部运行安全软件的粉丝(例如谷歌)。
我完全同意,但记住这点根据Ars前几天的文章谷歌账户将很快被默认为2因素,如果你有一个相关的谷歌设备像Android (chromebooks ?)这么多人默认会发生这么大的变化,这有点可怕,但这应该可以提高大量谷歌账户的基本安全性,尤其是因为它不使用短信。
是的-我对此很高兴。但它仍然依赖于一个员工在第三方系统上维护的安全系统。如果没有其他原因,我认为员工不应该负责将这些问题摆到桌面上。
国安局的人应该和能源部的人谈谈,让我们自己的基础设施不容易受到我们在其他地方使用的攻击。”nobu“是的。
返回风险/成本分析,或缺乏。
很高兴看到他最后对联邦政府做点什么。2足总?太棒了!加密在休息吗?那他妈怎么还没准备好?
...但这是对一家私营公司的管道被切断的回应。我们会做些什么来要求在这方面的非狗屁IT防御?
回答:没有。有了足够多的共和党人执政,他或任何其他民主党人想做的事情都不会实现。
正如你敏锐地注意到的,他可以告诉主管如何做他想做的生意。说句公道话,这是好他让行政长官保护好他们的东西对他好!
然而,这并不能解决私营部门在信息安全领域投资不足或不投资的问题。没有激励让私营部门重新审视他们的基础设施和升级它来应对21世纪的威胁。没有惩罚的反社会企业(抱歉是多余的),他们将不可避免地选择利润而不是惩罚,因为USG的罚款系统从来没有设置一个货币数额,使违反法律的罚款超过小做生意的成本。
所以,没有。乔•拜登(Joe Biden)不会采取任何措施让私营部门更不易被黑客攻击。他就是做不到,这甚至不是意志的问题。
国会不会采取任何措施来减少私营部门的黑客攻击。他们就是做不到,这甚至不是意志的问题。
随便做点什么都会让共和党人抓狂、尖叫、哭泣,就像愤怒的吉娃娃一样,它最喜欢的咀嚼玩具被火箭筒击中了。
实际上你错了。除法律外,总统有很多杠杆将举行这一前面。共和党无法阻止有很多东西。
一个很好的例子是我上面提到的国防部网络安全成熟度模型认证(CMMC)。想与国防部做生意作为供应商?嗯,你必须达到CMMC要求(通常是3级)来做到这一点。顺便一提?您需要您的下游供应商也可以满足。没有新的法律要求,但突然,80万公司必须满足一家精心设计的安全管理框架,他们在两年前不必见面。
拜登总统也可以扩大这一范围。SEC没有理由不要求这个特定的控制实现来证明它符合萨班斯-奥克斯利报告的IT一般控制要求。你可以加上任何不受国防部保护的上市公司。
政府在网络安全领域有很多动向。而共和党对此无能为力(即使他们想这么做)。
你必须登录或创建一个帐户置评。